比较 Windows Hello 与 Windows Hello for Business

Windows 原生认证服务（如 Windows Hello for Business）可帮助组织简化用户管理、增强桌面安全性并改善整体用户体验。

Windows Hello 和 Windows Hello for Business 都是适用于 Windows 10 和 Windows 11 的原生认证服务，根据使用场景的不同，它们各有优势。如果组织选择部署 Windows Hello 作为认证安全措施，应了解免费版 Windows Hello 与 Windows Hello for Business 之间的区别。

什么是 Windows Hello？

Windows Hello 是内置于 Windows 操作系统中的安全认证方法。它使用户能够通过 PIN 或生物识别手势进行认证，比传统密码更轻松、更安全地登录桌面。Windows Hello 将用户凭据绑定到设备，并将凭据数据存储在设备上。数据永远不会被服务器收集，也不会离开设备。

Windows Hello 凭据无法被任何无法物理访问设备的人使用，有助于保护系统免受网络攻击，如钓鱼、欺骗或重放攻击。Windows Hello 还允许用户完全关闭密码使用。如果启用此选项，则只能使用 Windows Hello 登录选项来访问需要用户 Microsoft 账户和密码的设备功能，包括应用程序和网页浏览器。

Windows Hello 支持以下三种登录选项：

• 面部识别：集成到 Windows 生物识别框架中的身份验证机制。它需要专门配置用于近红外成像的摄像头，比传统面部识别系统在不同环境光照下提供更高的一致性。传感器必须具有低于 0.001% 的错误接受率（FAR）。如果摄像头没有防欺骗或活体检测功能，则必须具有低于 5% 的错误拒绝率（FRR）。如果具备这些功能之一，则必须具有低于 10% 的 FRR。
• 指纹识别：使用电容式指纹传感器扫描用户指纹的身份验证机制。该过程需要支持的指纹读取器来执行认证过程。传感器可以有不同形状和尺寸，这意味着 FAR 和 FRR 要求可能有所不同。例如，滑动传感器必须具有低于 0.002% 的 FAR，并且如果传感器包括防欺骗或活体检测功能，则实际有效的 FRR 必须低于 10%。
• PIN：一种非生物识别认证方法，绑定到 Windows 计算机并由可信平台模块（TPM）芯片支持，TPM 是一种安全、防篡改的加密处理器。用户的 PIN 可以在 4 到 127 个字符之间，并且可以包含字母、数字和特殊字符的组合。然而，默认情况下未启用字母和特殊字符的使用。

桌面管理员可以使用 Windows 操作系统附带的“设置”应用轻松设置 Windows Hello。在那里，他们可以选择登录选项并配置其他设置。要使用任一生物识别选项，计算机必须配备兼容的红外摄像头或指纹扫描仪。如果计算机未配备任何类型的传感器，用户可以选择兼容的外部设备，通过 USB 端口物理连接。

什么是 Windows Hello for Business？

Windows Hello for Business 通过添加更严格的安全性和更广泛的管理功能来扩展 Windows Hello，包括设备证明、条件访问策略、基于证书的认证和多因素认证（MFA）。MFA 过程使用 PIN 或生物识别手势，以及绑定到 Microsoft Entra ID 或 Active Directory（AD）的设备特定凭据。

Windows Hello for Business 依赖于多种技术协同工作，以安全地认证用户到其 Windows 桌面。使用 Windows Hello for Business 设置用户设备的过程可以分为以下五个阶段：

1. 设备注册：Windows 桌面向身份提供商（Microsoft Entra ID 或 AD）注册。注册由 Microsoft Entra ID 中的设备注册服务或 AD 联合服务（AD FS）中的企业设备注册服务执行。设备注册后，身份提供商为设备分配一个身份。该身份用于在用户登录时将设备与身份提供商关联和认证。
2. 配置：设备向身份提供商注册后，策略在该设备上启用 Windows Hello。如果满足所有先决条件，Windows Hello for Business 会启动一个云体验主机窗口，引导用户完成配置过程。用户通常必须提供用户名和密码来请求新的 Windows Hello for Business 凭据。然后，用户提供生物识别手势（如果设备支持生物识别）和 PIN。即使使用生物识别手势，也需要 PIN。创建 PIN 后，会生成公钥/私钥对。公钥向身份提供商注册并映射到用户账户。
3. 密钥同步：此阶段仅适用于 Microsoft Entra 混合部署。它确保用户的公钥从 Entra ID 同步到 AD。处理同步的 Microsoft Entra Connect Sync 将密钥写入 AD 中用户对象的 msDS-KeyCredentialLink 属性。
4. 证书注册：此阶段仅适用于基于证书的认证。注册密钥后，客户端向 AD FS 服务器上的证书注册机构发送证书请求。服务器验证请求并使用组织的公钥基础设施（PKI）来满足请求，该基础设施向用户颁发证书。
5. 认证：用户使用注册的 PIN 或生物识别手势登录。Windows Hello for Business 凭据的私钥部分用于认证用户。身份提供商通过将用户账户映射到配置阶段注册的公钥来验证用户。如果身份提供商可以验证用户身份，则对用户进行认证。

管理员可以使用 MDM 平台配置 Windows Hello for Business。对于未由 MDM 平台管理的设备，他们可以使用组策略。管理员应避免同时使用 MDM 和组策略来管理 Windows Hello for Business。由于 Windows Hello for Business 是一个分布式系统，应仔细规划其实施和管理。

只要可能，Windows Hello for Business 会利用每个系统的 TPM 来生成和保护安全密钥。尽管管理员可以通过允许基于软件的密钥操作来覆盖此行为，但 Microsoft 建议使用 TPM，因为它可以防范更广泛的威胁，包括对 PIN 的暴力攻击。

Windows Hello 与 Windows Hello for Business

Windows Hello 和 Windows Hello for Business 都有助于简化 Windows 认证过程，并且这两种服务之间的差异并不总是清晰。这可能使决策者难以知道是否应在组织中选择 Windows Hello for Business 或仅坚持使用 Windows Hello。然而，IT 领导者可以通过以下五个具体类别来了解差异。

Windows Hello 目标用户

Windows Hello 适用于个人使用或不集中管理计算机的小型组织。在这两种情况下，最终用户通常自行配置服务。他们必须启动“设置”应用并选择必要的选项。Windows Hello 适用于任何在非托管 Windows 10 或 Windows 11 计算机上工作的用户。如果 Windows Hello for Business 已禁用，它也可能在托管计算机上可用。

Windows Hello for Business 主要针对集中管理其用户和计算机并使用 Microsoft Entra ID 或 AD 进行身份和访问管理的大型组织。Windows Hello for Business 与 Entra ID 和 AD 完全集成，计算机必须向这些服务之一注册才能使用 Windows Hello for Business。

使用 Windows Hello 进行认证

启用 Windows Hello 时，用户必须首先向其 Microsoft 账户或支持快速身份在线（FIDO）2 认证的身份提供商进行认证。用户也可以向本地账户进行认证，但这种方法不提供相同级别的安全性，因为它不受非对称密钥支持。

使用 Windows Hello for Business，用户必须向 AD、Microsoft Entra ID 或支持 FIDO2 的身份提供商进行认证。认证是一个多阶段操作，依赖于多种技术协同工作以确保顺畅安全的登录过程。认证仅在设备向身份提供商注册并收到必要凭据后发生。

Windows Hello 提供的安全功能

Windows Hello 使用绑定到 TPM 的基于密钥的认证。这种方法比传统密码更安全，因为 PIN 无法从服务器窃取或从用户那里钓鱼并远程使用。然而，Windows Hello 不支持基于证书的认证或某些高级安全功能。

Windows Hello for Business 支持基于密钥或基于证书的认证。它提供基于以下公式的双因素认证：你拥有的东西（由 TPM 保护的私钥）加上你知道的东西（如 PIN）或你的一部分（面部或指纹）。此外，Windows Hello for Business 支持高级安全功能，如设备证明和条件访问。

Windows Hello 的特殊配置

使用 Windows Hello，最终用户通常自行设置服务。他们应启动“设置”应用并转到“账户”>“登录选项”，在那里他们可以选择所需的认证类型并设置其他几个选项。除此之外，他们不需要采取特殊准备。然而，如果他们想使用生物识别登录选项之一，系统必须具有可用的红外摄像头或指纹传感器。

相比之下，Windows Hello for Business 由 IT 管理员集中管理，通常使用 MDM 平台，如 Intune、ManageEngine 或 SOTI MobiControl。例如，管理员可以使用 Intune 配置最小和最大 PIN 长度，以及 PIN 是否可以包含大写字母、小写字母或特殊字符。作为 MDM 的替代方案，管理员可以使用组策略配置 Windows Hello for Business，只要设备已加入 AD 或 Microsoft Entra 混合环境。

Windows Hello 许可

Windows Hello 包含在所有 Windows 10 和 Windows 11 版本中。用户可以在“设置”应用中配置它以开始使用，请注意生物识别登录选项需要必要的面部或指纹传感器。Microsoft 还建议计算机包括 TPM 芯片以获得最全面的保护。没有 TPM，凭据存储在软件中，这不如硬件安全。

Windows Hello for Business 包含在 Windows Pro、Education A3 和 A5 以及 Enterprise E3 和 E5 版本中。尽管 Windows Hello for Business 不作为单独产品许可，但它需要 Microsoft Entra ID 或 AD 注册，这可能转化为额外的许可成本。确切的许可结构和成本取决于组织如何使用 Microsoft 服务以及他们已经拥有的服务。例如，IT 可以使用 Microsoft Entra ID 免费层部署 Windows Hello for Business，该免费层随 Microsoft 云订阅（如 Microsoft 365）提供。然而，一些高级管理功能在此层中不可用。

Robert Sheldon 是一名自由技术作家。他撰写了大量关于广泛主题的书籍、文章和培训材料，包括大数据、生成式 AI、5D 内存晶体、暗网和第 11 维度。